Привет All.
Такой вопрос.
Есть две ЛВС, которые соединяются туннелем. Здесь проблем нет. Но я хочу дать ЛВС1 не только доступ к ЛВС2, но и через ЛВС2 доступ в инет. Т.е. схема такая:
ЛВС1---VPNшлюз1----IPSEC----VPNшлюз2---ЛВС2---Интернет
Проблема в маршрутизации трафика ЛВС1 в Инет через ЛВС2.
Когда я делаю пинг из ЛВС1 в ЛВС2 - все нормально, он через тунель идет в ЛВС2.
Но когда я делаю пинг из ЛВС1 в Инет ...пинга нет.
Где рыть, подскажите и такая схема вообще работоспособна ?
Заранее спасибо.
Организация VPN тунеля
Модераторы: Trinity admin`s, Free-lance moderator`s
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Re: Организация VPN тунеля
Было бы нелишним указать на чем и как сделан канал. А так, медиумы в отпусках,yar писал(а):Но когда я делаю пинг из ЛВС1 в Инет ...пинга нет.
Где рыть, подскажите и такая схема вообще работоспособна ?
Заранее спасибо.
.Единсвенное - смотрите на таблицы маршрутизации.
Канал из ЛВС1 в ЛВС2 идет через частную сеть.
ЛВС2 связана с ЛВС1 через VPN (ipsec) и другим каналом (обычный DSL) связана с провайдером.
Связка ЛВС1---VPN---ЛВС2 работает. Т.е. я делаю пинг из ЛВС1 в ЛВС2 - он проходит и есть ответ. При этом если я запускаю tcpdump на vpn-интерфейсах я вижу ipsec-пакеты (ESP), если tcpdump в любой из ЛВС - то обычные icmp запросы и ответы. Так и должно быть.
Но вот если я делаю пинг из ЛВС1 в инет (например, пинг rambler.ru), то ответа нет.
Дело в том, что в конфигах ipsec (FreeS/WAN) на обоих vpn-шлюзах указываються подсеть своя и та куда надо пробросить трафик. Т.е. логически связываються две ЛВС.
И если в пакете sourceЛВС1 и destinationЛВС2 (или обратно), то пакет проходит.
Но вот если sourceЛВС1, а destinationИнтернет - то облом.
ЛВС2 связана с ЛВС1 через VPN (ipsec) и другим каналом (обычный DSL) связана с провайдером.
Связка ЛВС1---VPN---ЛВС2 работает. Т.е. я делаю пинг из ЛВС1 в ЛВС2 - он проходит и есть ответ. При этом если я запускаю tcpdump на vpn-интерфейсах я вижу ipsec-пакеты (ESP), если tcpdump в любой из ЛВС - то обычные icmp запросы и ответы. Так и должно быть.
Но вот если я делаю пинг из ЛВС1 в инет (например, пинг rambler.ru), то ответа нет.
Дело в том, что в конфигах ipsec (FreeS/WAN) на обоих vpn-шлюзах указываються подсеть своя и та куда надо пробросить трафик. Т.е. логически связываються две ЛВС.
И если в пакете sourceЛВС1 и destinationЛВС2 (или обратно), то пакет проходит.
Но вот если sourceЛВС1, а destinationИнтернет - то облом.
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Мать, ну речь то ведь не об этом, речь о том, что за железки, адресация в сети, маршрутизация, гетвеи какие. А это просто общие слова, как бы безотносительная теория что ли.yar писал(а):Канал из ЛВС1 в ЛВС2 идет через частную сеть.
ЛВС2 связана с ЛВС1 через VPN (ipsec) и другим каналом (обычный DSL) связана с провайдером.
ЛВС1---VPNшлюз1---192.168.20.0/30---VPNшлюз2-----ЛВС2--------Инет
ЛВС1: сеть 192.168.10.0/24 gw 192.168.10.1
VPNшлюз1: ethЛВС1 192.168.10.1 (Linux)
ethVPN1 192.168.20.2
VPNшлюз2: ethVPN2 192.168.20.1 (Linux)
ethЛВС2 192.168.30.1
ЛВС2: сеть 192.168.30.0/24 gw 192.168.30.100
Инет: ethЛВС1 192.168.30.100
ethИнет x.x.x.x gw x.x.x.y
Еще подробней ?
Таблицы маршрутизации и конфиги FreeS/WAN ?
Может проще по мылу ?
ЛВС1: сеть 192.168.10.0/24 gw 192.168.10.1
VPNшлюз1: ethЛВС1 192.168.10.1 (Linux)
ethVPN1 192.168.20.2
VPNшлюз2: ethVPN2 192.168.20.1 (Linux)
ethЛВС2 192.168.30.1
ЛВС2: сеть 192.168.30.0/24 gw 192.168.30.100
Инет: ethЛВС1 192.168.30.100
ethИнет x.x.x.x gw x.x.x.y
Еще подробней ?
Таблицы маршрутизации и конфиги FreeS/WAN ?
Может проще по мылу ?
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Вот теперь все становится яснее.yar писал(а):ЛВС1---VPNшлюз1---192.168.20.0/30---VPNшлюз2-----ЛВС2--------Инет
Скорей всего на второй стороне не прописан маршрут, куда посылать пакеты для сети 10.0/24. Пропишите там статический маршрут. Либо как вариант, сделайте шлюз, принадлежащей одной из сети, например шлюз типа
Код: Выделить всё
10.110 -> 10.110-
corvax
- free-lance moderator
- Сообщения: 877
- Зарегистрирован: 06 авг 2004, 17:21
- Откуда: Kiev, Ukraine
- Контактная информация:
безотносительно того, какая ОС с обеих сторон, какой софт использован для построения VPN и вообще, VPN ли это или просто ethernet или PPP:yar писал(а):ЛВС1---VPNшлюз1---192.168.20.0/30---VPNшлюз2-----ЛВС2--------Инет
ЛВС1: сеть 192.168.10.0/24 gw 192.168.10.1
VPNшлюз1: ethЛВС1 192.168.10.1 (Linux)
ethVPN1 192.168.20.2
VPNшлюз2: ethVPN2 192.168.20.1 (Linux)
ethЛВС2 192.168.30.1
ЛВС2: сеть 192.168.30.0/24 gw 192.168.30.100
Инет: ethЛВС1 192.168.30.100
ethИнет x.x.x.x gw x.x.x.y
1. на 192.168.10.1 надо прописать маршрут на 192.168.30.0/24 через 192.168.20.2
2. на 192.168.30.1 надо прописать маршрут на 192.168.10.0/24 через 192.168.20.1
3. на 192.168.30.100 надо прописать маршрут на 192.168.10.0/24 через 192.168.30.1
это для того, чтобы с любого хоста 192.168.30.0/24 был доступен любой хост 192.168.10.0/24 и наоборот
если для 192.168.10.0/24 другого внешнего канала нет, кроме как через 192.168.20.1 то можно в пункте 1 прописать на 192.168.10.1 в качестве маршрута по умолчанию 192.168.20.2
если нет необходимости давать доступ к 192.168.10.0/24 из 192.168.30.0/24, то можно на 192.168.10.1 настроить NAT всего внешнего трафика с использованием адреса 192.168.20.2. тогда пункты 2 и 3 можно заменить на прописывание на 192.168.30.100 маршрута на 192.168.20.0/30 через 192.168.30.1
--
/corvax
/corvax
Кто сейчас на конференции
Сейчас этот форум просматривают: Google [Bot] и 12 гостей